PCやサーバ環境でなにが起きているかを侵害診断サービスで可視化

6月22日, 2022blog

私が前職で大手金融機関のネットワークを担当している時にインターネット接続環境を構築してSOCサービスと連携し、外部からの脅威に対しての防御をしつつ、セキュアに従業員が社内のPCから利用できるサービスを2000年代に入って提供をするようになりました。

その当時、インタネットと社内ネットワークを接続すること自体、国内金融機関では慎重になっていました。

ァイヤーウォール、IDS/IPSで境界防御を行っていましたが、年一回第三者によるペネトレーションテストを行って実際の環境の脆弱性を確認していました。最近、昔の同僚と話す機会があり、最近はどうなっているのか?聞いたところ年一回のペネトレーションテスト以外に簡易版のペネトレーションテストを週次で実施しているとのことでした。やはり今の時代は防御は万全というためには第三者の脆弱性チェックの結果も重要だと感じました。

最近ニュースなどで話題に上がったEmotetは、インタネット環境の脆弱性を攻撃するのではなくメールに添付したパスワード付きファイルにマルウェアなどを忍ばせて攻撃点を作る手法です。

これは、従来のペネトレーションテストで確認できるものではありません。ウィルス対策ソフトウェアが入っているから大丈夫と安心していられるのでしょうか?、ウィルス対策(EPPやEDR)ソフトウェアが入ったとしても実際のインシデントが発生するケースもあります。

インタネットは20年前からペネトレーションテストを実施して第三者評価を年次で受けているのに対して大きなギャップを感じませんか?

シグネチャータイプのアンチウィルスソフトでは、既知のウィルスには対応できますがゼロDAY対応はできません。そのためにEDRを組み合わせうのが今の主流となり、多くの企業では、EDRを含めて導入されていると思います。

このEDRに関しては導入すればOKでなく、予め不審な振る舞いに対応するスクリプトを設定すると共に24/365の監視体制があってはじめて準備が整うものになります。24/365の監視・運用をSOCの中で行われるケースもあります。

実際のインシデント対応に携わってきた中では、EDRで検知しつつもアクションが取れず、気が付いたらランサムウェア被害を受けてしまった事例もあります。

サイバー犯罪に対しては鼬ごっこであり、何が正解は正直ないと考えています。大事なのは、しっかりした理解とそれに基づいた企業ポリシーに合わせ環境構築と監視・運用が出来ているかが重要です。

現在多くの企業でサイバーセキュリティに対するモニタリングとしては、①ペネトレーションテスト(ネットワーク侵害診断)、②標的型メール訓練(標的型メール受信時のユーザの対応診断)の二つになると思います。これだけでもある程度の可視化は可能ですが、ランサムウェア事件の発生が増える中では、もう一つとしてエンドポイントの健全性を第三者が評価するサービスが「侵害診断サービス(CA:Compromise Assessment)」なるものの重要性が今後高まると予想しています。

このサービスでは、サイバー攻撃や環境の脆弱性情報を収集するスクリプトを実行して集まった情報をAIを利用しつつ専門家が分析して報告するサービスとなります。

ペネトレーションテストや標的型メール訓練と合わせてこの侵害診断サービスを併用することで、不審メールに対する社員のリテラシーとネットワークだけでエンドポイントやサーバの脆弱性や不審な動きなど実際の環境で起きていることを知ることが出来ます。

サイバー攻撃が高度化して増加する世の中ではこうした起きてからでなく日頃の状況把握が事故を未然に防ぐ方法と言えます。

侵害診断サービスは、対象がPCからサーバまでとなりますが全てを選択すれば全てをチェックすることができますが、コストは高額になってしまします。一つトライアルとして利用するのであれば、過去のインシデント情報や疑似的な不審メールの開封結果などの情報をもとに対象ユーザや端末などを選定することでより有益なデータ収集とそれを基にした分析と報告を得ることが可能になります。

侵害診断サービスを簡単に紹介した動画を合わせてご視聴頂いて理解を高めて頂ければ考えております。

🎞 紹介動画はこちらになります⇒ Blackberry侵害診断サービスの紹介

 

blog

Posted by BB_LV